Suchen

Software-Sicherheit – Teil 1

Programme per Debugging, Fuzzing und Reverse Engineering analysieren

Seite: 3/3

Firma zum Thema

Verhaltensmuster in einer Sandbox analysieren

Vor allem für Viren-Experten ist es wichtig, verdächtige Programme in einem sicheren Kontext ausführen zu können. Dazu nutzen sie spezielle virtuelle Umgebungen, die das Verhalten eines echten Betriebssystems möglichst genau nachbilden. Alle Veränderungen, die ein Schadprogramm anschließend am System vornimmt, können so in Ruhe aufgezeichnet und ausgewertet werden.

Die Applikation befindet sich im übertragenen Sinne in einem abgeschirmten Sandkasten (engl. Sandbox). Eine solche Testumgebung ist für einen Reverse Engineer von großem Vorteil – sie spart Zeit und Kosten. Vor allem Änderungen an der Windows-Registry und ähnlich kritischen Punkten sollten genau unter die Lupe genommen werden.

Eine der wohl bekanntesten Sandbox-Lösungen bietet das 1984 in Norwegen gegründete Unternehmen Norman. Deren Funktionalität richtet sich gezielt an Malware-Analysten und Reverse Engineers. Und dank automatisierter Analyse-Verfahren, liegen erste Reports binnen kürzester Zeit bereit.

Windows Sysinternals zur manuellen Diagnose einsetzen

Ähnlich den Wegen nach Rom, gibt es auch bei der Untersuchung von Applikationen verschiedenste Ansätze – jeder mit eigenen Vor- und Nachteilen. Die meisten der kommerziellen Lösungen setzen auf einen hohen Grad an Automatisierung, um Zeit und Kosten zu sparen. Demgegenüber bietet ein guter Reverse Engineer vor allem Erfahrungswerte und ein Gespür für Fehler, die durch einfache Raster gefallen wären.

Speziell für Windows-Systeme lohnt sich ein Blick auf die Sysinternals-Tools von Mark Russinovich und Bryce Cogswell. Unterteilt in mehrere Kategorien, stehen Programme zur Analyse diverser Komponenten des Systems zum freien Download bereit. So erlaubt allein der „Process Monitor“ das Überwachen von Dateisystem-, Registrierungs-, Prozess-, Thread- und DLL-Aktivitäten.

Im nächsten Teil dieser Artikelreihe zeigt Security-Insider.de Mittel und Wege, wie Programme auf Fehler untersucht werden können, deren Quellcode zur Verfügung steht.

Inhalt

  • Seite 1: Software als Einfallstor
  • Seite 2: Debugger, Disassembler und Decompiler
  • Seite 3: Verhaltensmuster in einer Sandbox analysieren

(ID:2050210)